劫持国内超人气论坛---西祠胡同讨论版

 <script language="javascript" src="http://js4.all4ad.net/mtunion/display.aspx?unionid=50624&htmlid=html/joyo/760x60_2.htm&val1=50624"></script><script language="javascript" src="http://js4.all4ad.net/mtunion/display.aspx?unionid=50624&htmlid=html/joyo/468x60_2.htm&val1=50624"></script><script language="javascript" src="http://js4.all4ad.net/mtunion/display.aspx?unionid=50624&htmlid=html/joyo/770x80_2.htm&val1=50624"></script> marginwidth="0" marginheight="0" src="http://www.joyo.com/union/eb.asp?k=6&source=ad4all_50624" frameborder="0" width="120" scrolling="no" height="60"> marginwidth="0" marginheight="0" src="http://www.joyo.com/union/eb.asp?k=19&source=ad4all_50624" frameborder="0" width="580" scrolling="no" height="60"> marginwidth="0" marginheight="0" src="http://www.joyo.com/union/eb.asp?k=3&source=ad4all_50624" frameborder="0" width="750" scrolling="no" height="60"> marginwidth="0" marginheight="0" src="http://www.joyo.com/union/eb.asp?k=18&source=ad4all_50624" frameborder="0" width="775" scrolling="no" height="80"><script language="javascript" src="http://js4.all4ad.net/mtunion/display.aspx?unionid=50624&htmlid=html/joyo/770x80_3.htm&val1=50624"></script><script language="javascript" src="http://js4.all4ad.net/mtunion/display.aspx?unionid=50624&htmlid=html/joyo/760x60_3.htm&val1=50624"></script><script language="javascript" src="http://js4.all4ad.net/mtunion/display.aspx?unionid=50624&htmlid=html/joyo/468x60_3.htm&val1=50624"></script> 西祠胡同是国内较大的社区，一直对它很感兴趣，但是它不公开源代码，所以只能进行“盲人摸象”式的测试。 年初趁着胡同改版，系统不稳定的时候，我进行了一系列的测试，得到如下信息： Microsoft OLE DB Provider for ODBC Drivers error '80004005' [Microsoft][ODBC SQL Server Driver]Timeout expired //192.168.100.217/D$/XICI.NET/WWW.XICI.NET/BOARD 呵呵，WEB目录在内网中，增加了入侵的难度。本想试试Sql Injection的，可惜他们防范地不错，当然我的技术也很菜啊，呵呵。 在与朋友闲聊的时候他说网站采用 session认证后，cookie欺骗等攻击也造成不了危险；西祠好象也采用session嘛，既然在服务器的安全上的防护做 的不错，那就看看它对它的付费用户的安全工作做的怎么样……我们试试另类比较少用的跨站攻击吧。 在西祠论坛的工具面板中有斑竹更换的功能，也就是说可以把论坛的主人进行变更，呵呵；不妨试试把他们的论坛占为已有呀。 论坛用了“框架”，给我们找那页的真正地址造成了点小麻烦，不过难不倒我们啊，拿出工具Winsock Expert，点击网页上的“斑竹”菜单，马上嗅探到地址了：如图001.jpg OK，我们在IE的地址栏里把得到的地址填上去再另存到我们的电脑上去，然后用记事本编辑它的源文件。 什么？不懂？没关系拉，我简单介绍下你就明白咯，如图002.jpg action：把输入的数据提交到的目的地址 get：提交的方式；以get提交后，表单值全总显示在浏览器的地址栏中。 Post：也是表单的提交方式，但是与上面的get不同是的，他不会显示提交的表单值。 所以啊，我们把 action的地址随便填个，比如127.0.0.1，然后把后面的get改为post，再保存一下，再打开修改后的网页，把版 主设为自己，如图003.jpg 提交吧，由于刚才我们提交的action地址是不存在的，所以提交后它没有在网络上通过服务器执行，而是全部显示在浏览器的地址栏里，我们得到如下数据： http://127.0.0.1/board/bdm_master.asp?id=42919&Master=Ze Ta&Master1=001&Master2=002&Master3=003&Maste r4=&do=+%CC%E1+%BD%BB+ 分析一下： /board/bdm_master.asp：就是我们西祠胡同论坛“斑竹更改”的相对网页地址 id=42919：就是论坛版的版号，西祠论坛有很多很多呢，都是根据ID分的。 Master=ZeTa：版号为42919的管理员名称，就是我啦，嘿嘿 Master1=001：就是我们在上图中填入的第一副斑竹，Master2=002同上 我们相中哪个大版就把对应的ID更改下，然后发个帖子，让管理员点击那一串IE地址，不过管理员不傻呀，一看就知道有名堂，怎么办？欺骗他们吧…… 新建个 falsh文件，画个什么东东，然后把鼠标移到那个frame上，右键点一下，选中“actions”选项，再到actions 面板中选中“geturl”如图004.jpg 再点击“ geturl”，把刚刚的那串URL填进去呀，最后导出flash，传到空间，把动画贴到论坛里，发个注目帖，管理员好奇呗，他 点开帖子就执行那串URL……… 屏幕闪过，那个讨论版就是你的了…… 也可以用这样的IE漏洞欺骗管理员点击呀 网易被黑 本来还想用类似方法更改任意用户的密码，但是其中有个oldpass项，怎么也跳不过去，只好作罢，如果哪位朋友有兴趣可以试试呀。 其实上面的那个方法用到其它的一些论坛，可以帮自己提升在论坛的权限。 西祠胡同的那个小疏忽真的为那些付费添了很多麻烦。希望他们在收钱的同时多注意下其实方面的安全。